Herramientas de buzón: una amenaza para la privacidad y seguridad de los datos del consumidor.

Publicado: 2021-08-18

El tema cada vez más controvertido de la privacidad y seguridad de los datos del consumidor fue el centro de atención recientemente en un artículo del New York Times que criticaba las prácticas comerciales utilizadas por Slice, el propietario de la aplicación de administración de suscripción de correo electrónico Unroll.me, y Uber. El artículo reveló que Slice vendió datos de consumidores de Unroll.me a la popular empresa de viajes compartidos.

“Uber dedicó equipos a la llamada inteligencia competitiva, comprando datos de un servicio de análisis llamado Slice Intelligence. Utilizando un servicio de resumen de correo electrónico que posee llamado Unroll.me, Slice recopiló los recibos de Lyft enviados por correo electrónico de sus clientes desde sus bandejas de entrada y vendió los datos anónimos a Uber ".

Si bien el CEO de Unroll.me, Jojo Hedaya, ofreció una disculpa, no logró satisfacer a algunos clientes, y las secciones de comentarios en varios sitios web se calentaron cuando algunos clientes solicitaron que se destruyeran sus datos.

Pero hay un problema.

Unroll.me y otras herramientas como estas pueden reservarse el derecho de retener indefinidamente sus datos de correo electrónico, y poseer este tipo de datos es lo que hace que empresas como Unroll.me (Slice) sean tan valiosas.

Por ejemplo, en respuesta a la historia de Unroll.me en Y Combinator, un colaborador afirmó: “Una gran parte de la compra de Unroll.me por parte de Slice fue para acceder a esos archivos de correo electrónico. Específicamente, querían buscar tendencias de palabras clave y recibos de compras en línea ".

Y lo que la mayoría de los consumidores no se dan cuenta es que este tipo de recopilación y venta de datos también ocurre con otras empresas de herramientas de buzón (por ejemplo, Boxbe de eDataSource y OtherInbox and Organizer de Return Path). Anteriormente cubrimos algunas de estas herramientas en nuestro blog La verdad sobre los datos del panel de correo electrónico .

¿Por qué los consumidores entregan voluntariamente sus datos de correo electrónico?

¿Lees los Términos y las políticas de privacidad de todos los servicios en línea que utilizas?

Según el estudio reciente The Biggest Lie on the Internet: Ignorando las políticas de privacidad y las políticas de condiciones de servicio de los servicios de redes sociales , los investigadores encontraron que el 86% de los sujetos de prueba pasaron menos de un minuto leyendo las condiciones de servicio, y un asombroso 97% gastó menos de cinco minutos. Además, menos del 2% notó que al aceptar los términos de los servicios, en realidad estaban "proporcionando un hijo primogénito" como pago por el acceso a la solicitud de prueba.

Como la mayoría de los consumidores, asumimos que los usuarios de las herramientas de buzón gratuitas rara vez leen las políticas que aceptan. Pero el viejo adagio sigue siendo cierto: si no está pagando por usar un producto, noticias de última hora, usted (y sus datos) son el producto.

Return Path eDataSource Consumer Data Privacy and Security Threat

Usuarios de herramientas de buzón gratuitas: usted (y sus datos) son el producto.

La veterana de la industria del correo electrónico, Laura Atkins, recientemente se ocupó de la industria de las herramientas de buzón de correo y los datos del panel de correo electrónico con respecto a los riesgos de seguridad para los usuarios. Y en respuesta a las preocupaciones de Atkin, el director de privacidad de Return Path, Dennis Dayman, ofreció este comentario:

“Nuestro flujo de registro deja en claro que utilizamos los datos de los usuarios con fines de investigación de mercado, pero de forma anónima y agregada. Hacemos esa declaración en un inglés sencillo y conciso justo en el momento del registro, no oculto en los Términos de servicio de un clic que ningún usuario verá nunca. "

Pero así es como se lee en la página de registro del Organizador propiedad de Return Path:

“Al ofrecer este servicio, recopilamos y compartimos cierta información sobre mensajes de correo electrónico no personales (por ejemplo, correos electrónicos comerciales). Estos datos nos ayudan a obtener información sobre el comportamiento del consumidor y también nos ayudan a mejorar el ecosistema del correo electrónico al comprender mejor cómo las personas interactúan con los mensajes de correo electrónico no personales que reciben ".

Si bien estamos de acuerdo con Dayman de Return Path en que los usuarios deben recibir una explicación en “inglés sencillo” de lo que harán sus herramientas con los datos del cliente sin necesidad de leer una política de privacidad extensa, creemos que la copia del sitio web del Organizador no satisface esa necesidad.

Por lo tanto, hicimos lo que la mayoría de los usuarios de herramientas de buzón de correo probablemente nunca hagan: leer la Política de privacidad de datos de ruta de retorno de aproximadamente 4,653 palabras.

Nota: No somos abogados, así que consulte a uno si desea una opinión legal con respecto a la información discutida en este blog.

Enterrado en la política de privacidad, descubrimos que la herramienta recopila “mensajes comerciales, transaccionales y de relaciones” (Información de uso del servicio), no, no solo correo comercial. ¿Y los “mensajes de relación” son correos electrónicos personales? Según el sitio web, la herramienta se centra en el correo electrónico no personal. Desafortunadamente, después de varias lecturas de esta sección en la política, no pudimos encontrar una explicación clara del término.

En otra parte de la política se enumeran secciones sobre información de identificación no personal que se recopila y vende a terceros (Información de uso del servicio), que los correos electrónicos pueden almacenarse indefinidamente (Retención de información personal), que la aplicación puede rastrear la ubicación del usuario cuando se utiliza en un dispositivo móvil. dispositivos (Información agregada), y que sus datos pueden venderse a otra empresa (Cambio de control / Transferencia de activos) en cualquier momento. ¿Qué pasa con sus datos si otra empresa adquiere Return Path? No nos queda claro.

¿Ves esa información comunicada en "inglés simple" aquí:

Aplicación de correo electrónico del organizador de Return Path

Fuente: Organizador de Return Path

Nosotros tampoco.

Vender recibos de Lyft es solo la punta del iceberg

La venta de datos de Unroll.me a Uber ha dejado a muchas personas molestas, pero ni siquiera raspa la superficie de la colección más amplia de datos que se venden en otros lugares.

Por ejemplo, Return Path ofrece múltiples herramientas de buzón de correo gratuitas a los consumidores y "recopila datos detallados de recibos del consumidor de una amplia gama de fuentes" para mostrar que "los datos de recibos a nivel de artículo pueden mostrarle lo que los consumidores están haciendo realmente" y, según se informa, recopila datos sobre pagos. bancos, minoristas, comercio electrónico, etc .:

Return Path Consumer Insights Preocupaciones sobre la privacidad y la seguridad

Fuente: Return Path Consumer Insights

En el sitio web de Return Path, justo encima de esta imagen, y en el momento de este blog, decía "Return Path ofrece datos del consumidor como nunca antes los había visto". Si el gráfico anterior es una representación precisa de los datos que Return Path está recopilando y vendiendo, su colección de "Consumer Insight" va mucho más allá de los recibos de Lyft. Cotizaciones de seguros, estados de cuenta en línea, historial de compras, hábitos de visualización de Netflix, cambio de proveedor de telefonía ... ¿Es este el tipo de información que los consumidores imaginaban compartir cuando se registraban en una herramienta de buzón gratuita?

Irónicamente, parece que las mismas herramientas de buzón que afirman mejorar la productividad del usuario y ayudarlo a evitar el spam pueden comprar y analizar sus datos para informar más, mejor spam (o más spam) en función de la información recopilada de las cuentas de correo electrónico del usuario.

Recuerde, si está utilizando una herramienta de buzón de correo gratuita, usted (y sus datos) son el producto.

Las herramientas de buzón de correo de terceros pueden suponer un riesgo de seguridad importante

La publicación de Y Combinator también alegó problemas anteriores con la seguridad en Unroll.me:

“Trabajé para una empresa que estuvo a punto de adquirir Unroll.me. En ese momento, que fue hace más de tres años, habían guardado una copia de cada correo electrónico suyo que envió o recibió mientras formaba parte de su servicio. Esos correos electrónicos se guardaron en una serie de depósitos de S3 mal asegurados ".

¿Cangilones S3 mal asegurados? ¿Guarda una copia de cada correo electrónico? Independientemente de si se envía o se recibe? Si esto es cierto, podría significar que el almacenamiento S3 de Unroll.me está repleto de recibos de compra, restablecimiento de contraseñas y quién sabe qué tipo de mensajes personales. Incluso se pueden almacenar mensajes enviados que no tengan nada que ver con el uso de la herramienta.

¿Y las credenciales de inicio de sesión? Aunque algunos proveedores (Gmail, Yahoo, Outlook) proporcionan autenticación OAuth, AOL y Apple (icloud.com) no lo hacen, y estas aplicaciones de buzón de correo solicitan sus credenciales de inicio de sesión, incluida su contraseña, para utilizar el servicio. Si bien todas las empresas afirman que siguen las mejores prácticas estándar de seguridad, las violaciones de datos se han convertido en algo común en muchas empresas de software.

Varias fuentes señalaron que algunas de estas herramientas solicitan acceso completo de lectura y escritura a su cuenta. Esto significa que la aplicación, o cualquier persona que pueda violarla, podría tener rienda suelta para administrar su bandeja de entrada como mejor le parezca.

Cómo evitar que las herramientas de buzón de correo recopilen sus datos de correo electrónico

Si es usuario de Unroll.me, Boxbe, Organizer u otras herramientas de buzón y desea revocar su capacidad para recopilar, almacenar y vender sus datos, aquí hay instrucciones sobre cómo cerrar su acceso:

  • Gmail: visita la página de seguridad y ve a "Aplicaciones y sitios conectados" en "Inicio de sesión y seguridad" en el menú de la izquierda. Haga clic en el servicio que desea eliminar y se mostrará el botón azul "Eliminar". Responda "Sí" cuando se le pregunte "¿Está seguro de que desea eliminar el acceso?"
  • Outlook: uso de complementos en Outlook.com o Outlook en la web
  • Yahoo !: quitar el permiso a una aplicación de terceros

Para los usuarios que compartieron sus credenciales de inicio de sesión de correo electrónico con una herramienta de buzón, debe cambiar inmediatamente la contraseña de su cuenta de correo electrónico.

También animamos a los usuarios a que se pongan en contacto con el propietario de la herramienta y soliciten una aclaración sobre cómo se almacena su información personal (p. Ej., Mensajes transaccionales, mensajes personales, credenciales de inicio de sesión), junto con un enlace a la sección de su política de privacidad que les permite hazlo.